Mientras el mundo recompensa a quien encuentra agujeros de seguridad, el gobierno de España los denuncia

La polémica generada con el increíble fallo de seguridad de LexNET sigue siendo enorme, y tras la confusión, los parones y las verdades a medias este sinsentido continuaba con la denuncia del Ministerio de Justicia al beneficiario que avisó del problema.

La situación no acento muy adecuadamente de nuestros dirigentes en la dirección de una crisis de la que 1) ellos tienen la falta por no proteger adecuadamente esa red y 2) acaban culpando precisamente al habituado que avisó del problema con la mejor intención en ocupación de recompensarle o al menos darle las gracias públicamente.

Un escándalo que no parece tener fin

El pipiolo de 20 primaveras denunciado por el Ministerio de Justicia se dio cuenta del equivocación de seguridad el pasado jueves 27 de julio. ¿Qué hizo? No se aprovechó del problema de forma ilícita ni vendió esa información a potenciales ciberatacantes, no. Informó del problema a través de Twitter citando tanto al Ministerio de Justicia como a la cuenta de soporte de LexNET.

Rafael Catalá, ministro de Justicia en España

Este organismo no respondió a dicho mensaje, pero comenzaron a trabajar para tratar de resolver el problema. Mientras tanto el hacker borró los mensajes de Twitter para evitar su difusión y según el Ministerio de Justicia descargó el contenido, que compartió con varias personas. Ese fue el argumento de una denuncia que le acusa de “acceso irregular e ilegal” a sus sistemas adicionalmente de “difundir el contenido a terceros”.

El cruce de argumentos es el que se podría esperar: el Ministerio de Justicia argumenta que el hecho de que la página tuviera camino notorio no significa que pudiera descargarse y compartirse la información allí recogida. En El Confidencial el pipiolo explicaba que eso no tenía sentido y que si todo estaba extenso se podía hacer lo mismo con esa información que con un documento que buscas en Google.

Como explicaba el abogado e ingeniero Sergio Carrasco, esta energía no es un hackeo porque el pipiolo no se saltó ninguna medida de seguridad. “El código penal exigen, como requisito, el eludir medidas de seguridad”. En ese caso no habría problema, pero sí en una amenaza que hizo el pipiolo tras descargar todo el código fuente completo de LexNET, que todavía estuvo arreglado por ese problema de seguridad. Se trataría de la revelación de secretos de empresas, y según este habituado, “habría más dudas”.

Román Ramírez, habituado en seguridad y co-organizador de RootedCon, nos aclaraba que en efectividad aquí hay dos accesos separados. El primero era LexNET, que pedía certificado de cliente para autenticarte, poco que luego te podía dar camino a directorios a los que teóricamente no debías tener camino, poco que todavía nos explicaba José Muelas, uno de los primeros abogados en detectar el error.

A raíz de ese problema se descubrió uno aún más importante: Orfila, que estaba en la misma red, estaba totalmente extenso, y este servicio “que funcionaba como un intercambiador de archivos”, nos explicaba Ramírez, podía ser accedido por cualquiera. Mientras que en este caso no parece que haya cero encausable, el de Lexnet es más dudoso.

En España nos gusta matar al mensajero

En artículos como este de El Diario se explica en detalle cómo funciona un sistema sumarial de pandereta en el que las causas complejas en las que trabaja el personal del Ministerio de Compleja acaban siendo trasladadas a copias en DVD o en unidades USB para su revisión porque esos documentos y vídeos quedan sin accesos fuera de la red interna.

Justicia1

Ese trasiego de información clasificada que pulula en estos medios y ordenadores sin escasamente protección —a no ser que quienes los transportan se ocupen de ese apartado— es solo una menudencia más en un vaso que se colmó en 2015, cuando la reforma del Código Penal endureció el delito de camino no consentido a sistemas informáticos previsto en el artículo 197 bis. Román Ramírez ya nos hablaba sobre el tema en 2015:

Incluso poseer herramientas de investigación como la archiconocida nmap puede destruir siendo un delito por el que un beneficiario podría ser investigado, perseguido e incluso arrestado. Aquí el argumento de Ramírez era convincente: estas reformas están “criminalizando al investigador de seguridad”, y haciendo que esa cultivo sea cada vez más compleja e incluso peligrosa para quien precisamente tráfico de ayudar a que estemos más seguros.

¿Qué significa esto? Que como indicaba Ramírez, en España se mata al mensajero, sin más. Un hacker ‘de sombrero blanco’, bienintencionado y que se dedica a avisar a empresas, organismos o particulares de cierto agujero de seguridad en sus sistemas, acaba siendo condenado por la Justicia española. Mientras eso ocurre aquí, en otras partes del mundo se premio a este tipo de hackers por su cultivo. Y se les premio la mar de adecuadamente.

En España deberíamos memorizar de los ‘bug bounties’

Ser cazarrecompensas de bugs informáticos se han convertido en una jugosa y lucrativa profesión para muchos expertos en seguridad informática, sobre todo ahora que cada vez más empresas y organismos han entendido que dar premios y recompensas porque descubran vulnerabilidades en sus sistemas puede ser mucho más de ocasión que solucionarlos si alguno con mala intención los aprovecha para todo tipo de fines.

Facebook

En nuestro repaso a ese aberración hablábamos en marzo de 2017 con Borja Berástegui y Omar Benbouazza sobre esa nueva tendencia de un mercado que ha dejado de condenar el hacking ético para recompensarlo como se merece. Empresas como Apple ofrecen hasta 200.000 dólares de premio para quien descubra vulnerabilidades de seguridad críticas, y muchas otras como Microsoft, Facebook, Google o Yahoo! tienen campañas similares que hacen que los expertos en seguridad tengan un incentivo importante para hacer el adecuadamente y no el mal. Empresas como Tesla tienen todavía contemplada este tipo de actividad, incluso en Europa, donde explican cómo reportar vulnerabilidades de forma segura.

Como exlicaba Berástegui, en nuestro país reportar esas vulnerabilidades de seguridad de forma pública puede tener consecuencias legales para el investigador. Nos comentaba que en España “la modo más segura suele ser contactar con un intermediario, dependiendo del tipo de vulnerabilidad que encuentres, con ZDI, CERT, o alguna plataforma de Bug Bounties”, poco con lo que coincidía Benbouazza, que recomendaba otras alternativas como INCIBE.

La cosa no termina ahí, y no solo las empresas se están concienciando del problema. Como señalaban en El Confidencial, el año pasado el Gobierno de Estados Unidos organizó un plan llamado ‘Hack the Pentagon‘ en el que animaban a toda la comunidad de ciberseguridad a encontrar fallos en los sitios web del Departamento de Defensa durante tres días. Pagaban entre 100 y 15.000 dólares por vulnerabilidad dependiendo de su pesantez, y adicionalmente crearon un ránking de los expertos que tuvieron más éxito para promocionar su trabajo y que ésto pudiera servir como argumento para futuras oportunidades profesionales.

Hackpentagon

Lo mismo hizo la Fuerza Aérea de los Estados Unidos y su ejército, y en Holanda el National Cyber Security Centre (NCSC) cuenta con información para que la comunidad de expertos en seguridad pueda reportar vulnerabilidades de la forma adecuada. En ese documento aseguran que la comunicación con el habituado será confidencial, que habrá muestra de recibo y que si se hace de la forma adecuada “no tendrá consecuencias legales”. Incluso te regalan “una camiseta o un máximo de 300 euros en cupones para compras”, que sin ser recompensas tan llamativas como las de Apple desde luego son muy distintas a lo que ocurre en nuestro país.

En Europa las políticas varían de país en país, pero la European Union Agency for Network and Information Security (ENISA) publicaba en 2016 un documento que recomienda estas prácticas sin condenarlas y de hecho tiene una guía de buenas prácticas para reportar esas vulnerabilidades.

Al final, nos explicaba Ramírez, hay de todo en todos lados: en Estados Unidos todavía hay casos de reporte de vulnerabilidades que acaban con demandas al habituado en seguridad, y en España hay casos en los que las empresas han premiado a quienes les han ayudado a descubrirlas. Este habituado nos comentaba el caso de Coowry, una plataforma de pagos para usar el saldo del móvil para hacer transferencias de boleto. En RootedCon 2017 Borja Berastegui descubrió una vulnerabilidad XSS que reportó públicamente y la empresa le felicitó y le agradeció esa información tras corregir el equivocación.

Lo importante al hacer ese tipo de revelaciones públicas, nos explicaba Ramírez, es “hacerlo con una pantalla de por medio”, es opinar, hacer uso de entidades como CERT, INCIBE o, como apuntaba él, algún broker de vulnerabilidades o la Guardia Civil, que suele tratar estos problemas con una diligencia absoluta.

Todo esto quizás debería ser tenido en cuenta por el Ministerio de Justicia para idear una modificación de unas políticas que provocan el objeto contrario del que deberían. Si un habituado en seguridad (un hacker, aunque el término siga teniendo connotaciones negativas) descubre una vulnerabilidad en sistemas de nuestro país, estará mejor calladito. Es triste, pero es una vez más la efectividad de un país en el que seguimos sin adaptarnos a la efectividad tecnológica de un mundo que sobrepasa a quienes lo gobiernan.

En Xataka | ¿Es correcto que las autoridades usen malware para sus investigaciones?


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales